Quando as leis são só coisas escritas
Estava de férias quando rebentou o escândalo da comunicação, pela Câmara de Lisboa, dos dados pessoais - nomes, moradas, endereços de mail - de três ativistas russos contra Putin à embaixada da Rússia. Só nesta segunda-feira tentei entrar a fundo no caso, não me tendo sido possível obter toda a informação que acho essencial. Nomeadamente quando abriu a Comissão Nacional de Proteção de Dados - que fora informada a 18 de março, via mail, pelas vítimas da violação de privacidade -, o processo de averiguações que disse à Lusa estar em curso, e por que motivo nem sequer respondeu ao referido mail ou contactou os queixosos*.
É óbvio que a CNPD tem de prestar esclarecimentos - como pode achar que não? - como é óbvio que aqueles que até agora a autarquia deu estão muito longe de ser satisfatórios.
Desde logo: Fernando Medina afirmou num primeiro momento que "o procedimento [identificar promotores] é adequado ao nosso quadro de manifestações num país democrático frente a instituições democráticas, mas não é adequado quando há manifestações em que pode ser identificado risco para os participantes."
Ora uma coisa é advertir uma embaixada, ou qualquer outra instituição ou organização, mesmo portuguesa e pública, de que vai existir um protesto ou manifestação nas suas imediações (e apenas nessas circunstâncias; como boaquiabertos descobrimos, a autarquia de Lisboa avisa até embaixadas, como sucedeu em 2019 com a de Israel em relação a um protesto convocado pelo Comité de Solidariedade com a Palestina, quando as concentrações não ocorrem perto delas); outra é comunicar-lhe os nomes, contactos e morada dos promotores. A primeira ação é entendível, mesmo se discutível; a segunda é, além de inaceitável e injustificável, ilegal.
Só pode admitir-se a comunicação de nomes e contactos de promotores às polícias (para que saibam quem são e possam contactá-los em caso de necessidades de segurança) mas decerto não a qualquer outra instituição e muito menos a países estrangeiros, sejam ou não suspeitos de perseguir opositores. Acrescendo, naturalmente, que não caberia jamais aos serviços da CML, ou de qualquer autarquia, fazer destrinça de situações em que pode haver riscos para os participantes. De resto, não é para prevenir o tipo de risco aludido nas declarações de Medina - de suceder algo de mal, fisicamente, às pessoas - que existe a interdição de partilha não autorizada de dados pessoais, mas porque a privacidade é um valor e um direito em si. O qual, salvo em determinadas circunstâncias muito específicas, só aos próprios cabe reger.
Tudo isso deveria resultar do bom senso. Mas é porque este falta bastante que temos leis. As existentes proíbem a transmissão de dados pessoais para países que não façam parte da UE e impõem um encarregado de proteção de dados (EPD) para cada instituição - encarregado esse que tem de, além de servir de consultor para estas questões, assegurar a realização de auditorias periódicas. E que deve comunicar à Comissão Nacional de Proteção de Dados, no prazo de 72 horas desde o seu conhecimento, qualquer violação do quadro legal*.
Parece evidente que a CML não só violou gravemente a lei ao transmitir dados pessoais dos promotores da manif a um país não UE, como nem teve noção dessa violação. É o que resulta da resposta absurda que lhes enviou em abril, após a queixa destes a 18 de março, culpabilizando-os por terem enviado informações demasiado detalhadas ao comunicarem a manifestação. Como se o facto de enviarem nomes e moradas obrigasse a Câmara a usar essa informação e devessem até desconfiar de que iria parar à embaixada da Rússia. Só falta dizer que os promotores da manif mandaram aqueles dados para a autarquia para depois se poderem queixar.
Ridículo à parte, a resposta da CML significa que das duas uma: ou o respetivo encarregado de proteção de dados nem sequer teve conhecimento do caso ou não fez o que lhe competia, que era dar toda a razão aos ativistas e comunicar a violação à CNPD, sujeitando a autarquia às consequências.
E não se alegue que o mail rececionado a 18 de março pela CML tinha também como destinatária a CNPD e portanto esta se considerava informada - a autarquia tinha de cumprir a lei e jamais poderia esperar que o escândalo rebentasse para, como foi agora comunicado, anunciar uma auditoria para perceber se o mesmo sucedera com outras manifestações. Que este possa ser um caso isolado - ao contrário do que foi noticiado, os promotores da mencionada ação de protesto contra Israel, em 2019, não tiveram os seus dados pessoais transmitidos à embaixada daquele país, até porque não os deram à CML (li os mails em causa, que me foram facultados pelo Comité de Solidariedade com a Palestina) - não pode sossegar-nos.
A evidência é de que a proteção de dados, e portanto o respeito pela privacidade e pelos direitos humanos, estão longe de constituir princípios estruturantes na autarquia da capital e de que o respetivo "encarregado de proteção de dados" é uma inexistência - como provavelmente em muitas outras instituições. E parece possível (embora pareça impossível) que, para além da autarquia e dos dois ministérios, da Administração Interna e dos Negócios Estrangeiros, que igualmente receberam a queixa dos ativistas e igualmente nada fizeram, a própria Comissão Nacional de Proteção de Dados tenha desconsiderado uma queixa desta gravidade*.
A lei está bonita no papel, mas se os seus princípios não forem levados a sério serve de nada. Num país no qual os polícias acham que podem pedir a identificação e revistar quando lhes apetece, magistrados demonstram tantas vezes desconhecer o básico do respeito pela privacidade e muitos dos que agora rasgam as vestes com este caso são os primeiros, noutras circunstâncias, a aplaudir, propagar e acicatar, desde que sirvam os seus objetivos, as mais variadas violações nesse campo, a inconsciência, indiferença e insensibilidade burocráticas demonstradas por quem na CML enviou aquele mail à Rússia, por quem recebeu a queixa dos ativistas e por quem lhe respondeu não destoa. Que ao menos sirva para debater o assunto a sério, para que percebamos o que aconteceu e o que há a fazer para que não se repita.
(*) NOTA: Após a publicação deste texto, na terça-feira à tarde, consegui obter a informação (que procurara obter antes, sem sucesso) de que, apesar de não ter respondido ao mail de 18 de março dos ativistas em que lhe era dado conhecimento do caso, a Comissão Nacional de Proteção de Dados abriu o processo de averiguações poucos dias depois.
De acordo com o que me foi dito por especialista da área, se se confirma que a Câmara de Lisboa tinha, quando admitiu ter cometido uma violação da lei, de dar conhecimento à CNPD dessa violação no prazo de 72 horas (o que não fez), não competiria ao Encarregado de Proteção de Dados fazer essa comunicação.
Esta nota foi redigida mal obtive a informação, mas um problema técnico impediu a sua publicação.